Saltar al contenido principal

Principales técnicas para llevar a cabo una auditoría en sistemas de seguridad de la información

Auditoría en sistemas de seguridad de la información

Gestionar la seguridad de la información es considerado un proceso de mejora continua, junto con las acciones de monitorio y las de revisión, se lleva a cabo para prevenir o corregir las posibles brechas que puedan surgir en la seguridad. Para conseguir este propósito, se utiliza la auditoría en sistemas de seguridad de la información.

Creemos que es necesario conocer todos los elementos necesarios para realizar una buena auditoría de sistemas de seguridad de la información.

Auditoría de seguridad

Una auditoría de sistemas de seguridad de la información es una revisión que tiene como objetivo mostrar el estado en el que se encuentra la protección de la información dentro de la empresa. Se involucra a la identificación, el análisis y la evaluación de todas las debilidades de los activos y en los controles de seguridad aplicados para protegerlos.

Según los diferentes recursos valiosos y los controles que pueden existir en una empresa, las auditorías pueden tener distintos enfoques y considerar revisiones técnicas o de gestión.

Las auditorías técnicas se pueden considerar revisiones, es decir, evaluaciones de vulnerabilidades, mientras que las auditorías de gestión facilitan el conocimiento del estado de cumplimiento con relación a los estándares, normas o requisitos legales.

Al mismo tiempo, las auditorías pueden ser tanto internas como externas, aunque en ambos casos se busca mantener la imparcialidad en los resultados. Las internas son revisiones para el autodiagnóstico y, por lo tanto, se llevan a cabo por el propio personal de la empresa, se pueden programar con mucha mayor frecuencia y requieren de menos recursos que las auditorías externas.

Si hablamos de la revisión externa, ésta es realizada por personal externo a la organización. Su principal ventaja radica en el hecho de que los resultados que se obtienen muestren una mayor objetividad, ya que son realizadas por expertos que no presentan conflictos de interés con la organización.

 

Auditoría en sistemas de seguridad de la información y diferentes tipos

Para fines de la gestión de seguridad de la información, una auditoría es un proceso sistemático, independiente y documentado en el que se define una revisión para implementar de forma efectiva los aspectos del sistema de gestión que hayan sido seleccionados y definidos en los distintos criterios.

 

 

También es posible clasificar las auditorías en base a los objetivos y al personal que las lleven a cabo. Las auditorías internas persiguen el fin de identificar todas las deviaciones e incumplimientos en el sistema de gestión y se apegan a las características antes mencionadas.

Por su lado, las auditorías externas se pueden dividir en las denominadas, de segunda y tercera parte. Las auditorías de segunda parte son revisiones que lleva a cabo un tercero con intereses en la organización o con fines de consultoría y diagnóstico externo.

Este tipo de auditorías ofrecen mayor objetividad, ya que son llevadas a cabo por el personal ajeno a la empresa.

Las auditorías de tercera parte las llevan a cabo entidades que proporcionan un voto de conformidad, aprobación y certificación. Por lo tanto, son minuciosas y objetivas, debido a que la entidad auditora, después de realizar la auditoría en sistemas de seguridad de la información se emite un certificado de aprobación sobre el cumplimiento del sistema auditado.

Características de las revisiones

Para los intereses del Sistema de Gestión de Seguridad de la Información, las actividades relacionadas con las auditorías deben estar documentadas, por lo que se debe mantener evidencia de la aplicación realizada. Una forma de conseguir esta información documentada es mediante un programa, que considera un conjunto de auditorías planeadas para un alcance específico. Es necesario que se incluyan todas las actividades que se necesitan para organizar cada una de las auditorías, de forma principal la periodicidad para la revisión del sistema de gestión.

Además, se sugiere que se realice una clasificación en tres categorías de los controles para el Sistema de Gestión de Seguridad de la Información según su utilización y a quiénes se encargan de su supervisión:

  • Controles de configuración
  • Control de accesos
  • Monitoreo

 

En el primero se incluyen técnicas como las mencionadas antes, para minimizar la posibilidad de que los atacantes identifiquen las vulnerabilidades que puedan existir.

Una vez considerado lo anteriores, se recomienda contar con un plan por cada una de las auditorias que se encuentran dentro del programa de auditorías. El plan de auditoría es una descripción de las actividades que se deben realizar, a partir de los procesos y las áreas sujetas a la revisión, además de los resultados obtenidos en evaluaciones previas. Se debe incluir, entre otros aspectos, los criterios, el alcance, los responsables y los métodos de auditoría.

Otra de las características importantes es la selección de los auditores, con la intención de mantener la imparcialidad del proceso de auditoría, siguiendo con la idea de no revisar el propio trabajo. Al concluir este proceso, se tendrá que generar un informe que muestre todos los resultados de las revisiones y permita priorizar los diferentes hallazgos. La dirección tiene que atender los incumplimientos que se hayan podido generar en cuanto al cumplimiento de lo establecido en los estándares, normas o requisitos legales que sirven como referencia para la evaluación.

Software ISO 27001

El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un SGSI de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un SGSI en una empresa.

Descargue el e-book fundamentos de gestión de Seguridad de la Información
Recibe Nuestra Newsletter
New Call-to-action
Nueva llamada a la acción
Volver arriba